網(wǎng)絡(luò)安全基礎(chǔ)大全--防火墻技術(shù)
1、基本術(shù)語
1)實(shí)施組織的安全政策。
2)創(chuàng)建鎖定點(diǎn)。
3)互聯(lián)網(wǎng)活動記錄。
4)限制網(wǎng)絡(luò)暴露。
2、什么是防火墻?
防火墻是用戶網(wǎng)絡(luò)和外部世界之間的屏障,防止不可預(yù)測的潛在損害進(jìn)入用戶網(wǎng)絡(luò);防火墻在開放和封閉接口上構(gòu)建保護(hù)層。內(nèi)部區(qū)域的業(yè)務(wù)根據(jù)協(xié)議在批準(zhǔn)下開展,外部訪問內(nèi)部網(wǎng)絡(luò)受到防火墻的限制。
網(wǎng)絡(luò)安全基礎(chǔ)大全--防火墻功能
1、過濾進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)。
2、管理網(wǎng)絡(luò)內(nèi)外的訪問行為。
3、防止某些行為。
4、通過防火墻記錄信息內(nèi)容和活動。
5、網(wǎng)絡(luò)攻擊檢測和警報(bào)。
網(wǎng)絡(luò)安全基礎(chǔ)大全--防火墻分類
一、訪問控制機(jī)制
制定訪問控制機(jī)制
1、路由器->ACL訪問控制列表。
2、評估包過濾防火墻->IP是否可以通過5次。
3、根據(jù)狀態(tài)監(jiān)控防火墻->應(yīng)用程序評估發(fā)生的可能性。
4、根據(jù)應(yīng)用程序代理防火墻->應(yīng)用程序評估是否可行。
5、基于多檢測機(jī)制防火墻->多個IP包評估整個應(yīng)用程序的可用性。
6、多功能集成網(wǎng)關(guān)(下一代防火墻)->內(nèi)置多重保護(hù),多層過濾后是否進(jìn)行評估。
二、數(shù)據(jù)包篩選器防火墻
1、組過濾技術(shù)根據(jù)系統(tǒng)定義的過濾邏輯(即訪問控制列表(ACL))在網(wǎng)絡(luò)層上選擇組。
2、包過濾防火墻分為靜態(tài)包過濾防火墻和動態(tài)包過濾防火墻。
3、數(shù)據(jù)包檢查器不檢查數(shù)據(jù)包的所有內(nèi)容,只檢查報(bào)頭(IP和TCP報(bào)頭)。
優(yōu)點(diǎn)
◆ 邏輯簡單性
◆ 增強(qiáng)透明度
◆ 對網(wǎng)絡(luò)性能影響較小
◆ 低成本和便宜的設(shè)備
缺點(diǎn)
◆ 無法篩選和檢查數(shù)據(jù)包內(nèi)容
◆ 可以在傳輸層或網(wǎng)絡(luò)層檢測數(shù)據(jù),但不能在更高級別檢測數(shù)據(jù)。例如,傳入的HTTP請求可能被禁止并通過,但無法確定該請求是非法的還是合法的。
◆ 很難防止欺詐攻擊。尤其是IP欺詐攻擊。(網(wǎng)絡(luò)外允許流量。數(shù)據(jù)包過濾防火墻只能檢測數(shù)據(jù)包的源IP地址,無法確定它是否是實(shí)際的源地址。)
◆ 釋放所有可能的端口(尤其是大于1024的端口)以提高攻擊概率
◆ 在復(fù)雜網(wǎng)絡(luò)中難以管理
◆ 一般來說,包過濾技術(shù)是防火墻技術(shù)中最低的。
三、防火墻檢查狀態(tài)
狀態(tài)檢測防火墻由動態(tài)包過濾防火墻演變而來。她在交通班工作。使用其他狀態(tài)表跟蹤活動的TCP會話。連接狀態(tài)表可以根據(jù)連接狀態(tài)信息動態(tài)配置和維護(hù),并用于后續(xù)消息處理。
狀態(tài)識別技術(shù)的典型控制點(diǎn)包括:
1、確保將包設(shè)置為正在使用的流量的一部分。
2、如果數(shù)據(jù)包與連接表中的條目不匹配,防火墻將檢查數(shù)據(jù)包是否與配置的規(guī)則集匹配。
3、當(dāng)檢測到時,防火墻將根據(jù)路由傳遞數(shù)據(jù)包,并在連接表中創(chuàng)建或更新會話的連接元素。
4、防火墻通常檢測TCP數(shù)據(jù)包中設(shè)置的FIN位,并使用會話超時設(shè)置來確定何時從連接表中刪除連接元素。
優(yōu)點(diǎn)
◆ 更安全的
◆ 效率
◆ 寬范圍
缺點(diǎn)
◆ 無法控制應(yīng)用程序級數(shù)據(jù)
◆ 無法生成高級日志
◆ 復(fù)雜結(jié)構(gòu)
四、應(yīng)用程序代理防火墻
1、應(yīng)用程序代理也稱為應(yīng)用程序網(wǎng)關(guān)。
2、應(yīng)用程序?qū)拥暮诵氖谴磉M(jìn)程。
3、每個應(yīng)用程序都遵循一個代理進(jìn)程來監(jiān)視和控制應(yīng)用程序級流量。
4、自適應(yīng)代理防火墻:每次啟動連接通信時,都必須在應(yīng)用程序級別進(jìn)行測試。通過安全規(guī)則,自適應(yīng)代理可以自動選擇要使用包過濾或代理的包。
優(yōu)點(diǎn)
◆ 它可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議屬性,并具有很強(qiáng)的分組感知能力。
◆ 代理完全控制會話,提供詳細(xì)的日志記錄和安全審計(jì)功能。
◆ 隱藏內(nèi)部網(wǎng)絡(luò)的IP地址并保護(hù)內(nèi)部主機(jī)不受外部主機(jī)的影響。
◆ 統(tǒng)一身份驗(yàn)證機(jī)制。
缺點(diǎn)
◆ 最大的缺點(diǎn)是用戶必須在任何改變其行為或訪問代理服務(wù)的系統(tǒng)上安裝特殊軟件。
◆ 很難分析和反思。每個應(yīng)用服務(wù)必須設(shè)計(jì)代理安全控制軟件模塊。更新應(yīng)用程序時,必須更新一半的代理服務(wù)。
◆ 影響用戶的網(wǎng)絡(luò)速度(命令解釋)。
◆ 無法阻止SYN攻擊。